攻击者视角看安全丨企业防御框架应该这样搭
本文运用攻击者视角,搭建企业防御框架。通过部署抗拒绝服务攻击、网络入侵防护和恶意程序防护措施提高基础安全水平。结合证券业现状,补充对于证券业适用的漏洞管理问题、客户资料泄露应对、互联网资产暴露检查方法。
漏洞管理
通常,证券业金融企业自身拥有互联网信息系统和内部信息系统,防护对象重心是互联网侧系统。WannaCry勒索事件,证明内网不是绝对的安全。攻击者利用已知高危漏洞,采用蠕虫传播恶意木马,对内部信息系统(办公终端)发起攻击。
如何在种类繁杂数量众多的漏洞中,明确修补加固优先级。笔者建议,首先梳理资产,识别是核心系统。之后,明确每个系统的责任人。然后,设定漏洞管理安全红线,通过梳理历史漏洞,采用清单列表形式将必须加固整改的漏洞列示出来。
各系统管理员对服务器的漏洞进行修复时,对清单中漏洞风险等级“高”,必须修复,并明确修复时间计划。其中,对涉及打补丁、升级版本的修复方法,首先按要求确认安全处是否发布补丁或版本,如未发布,可不修复;如已发布,可在变更时间内修复该漏洞,并明确修复时间计划。漏洞检测和加固的可选方式如下说明。
漏洞检测
· 在线检测,输入互联网应用URL,在线检测WEB应用漏洞;
· 日常检测服务,由第三方安全厂商提供服务,如绿盟网站监测服务包含漏洞扫描与验证服务;
· 扫描器检测,采购或租用漏洞扫描工具,由企业自有团队开展定期漏洞检测工作,可使用绿盟RSAS和WVSS对Web应用进行扫描。
漏洞加固
· 补丁修复,下载官方补丁并安装;
· 临时方法,如暂时无法升级Struts框架,可利用安全防护设备做临时防护,选择合适的时间进行补丁修复或加固;
· 纵深防御,互联网接入区部署入侵防御系统IPS、WAF。
客户资料泄露应对
多数情况下企业仅凭依赖其IT部门来完成防护重点对象的确认,但实际上重点防护对象不仅限于IT部门所管辖的IT资产。
应对数据泄露的安全防护方案是个大课题,本节介绍在明确系统范围和特定数据(客户姓名、手机号码、交易账号)场景下的安全分析思路。基于此,后续扩大范围覆盖,逐步提高数据防护能力。
证券业客户开户APP和在线交易APP,梳理APP重要数据流,找出相关系统处理客户信息(手机号码、交易账号)的所有场景,包含数据生成、存储、传输、使用、导出/下载、删除,评估结果是提交关注数据存在泄露风险点,并对高危风险点提出整改建议。
互联网资产暴露检查
攻击者探测扫描攻击对象,暴露在互联网资产每天被上百次扫描司空见惯。绿盟科技《2017上半年网络安全观察》中显示,全球和国内物联网相关设备暴露情况,路由器、网络摄像头等设备的暴露数量统计。
证券业广泛采用CDN技术在全国设置多个分节点,提供用户通过互联网连接访问。新上线业务开通审批相对严格,但一段时间后,业务的使用状况、端口开放情况就基本失控了。结合行业互联网资产在物理位置上的分散部署,更有必要开展暴露资产检查。梳理企业自身所有互联网IP地址段和域名(如能提供尽可能完整的二级域名信息会更好),通过工具检查可以发现企业安全团队未知的互联网存活资产。绿盟NTI平台提供互联网资产稽查服务,在2017厦门金砖会议安全保障期间广泛使用,评估结果对于重保和迎检很有价值,且传统的服务中较少涉及,是比较独特的价值。
运营对抗
运营对抗是真正意义上的攻击者与防守方之间的综合比拼,与人、规范化、自动化工具、有效度量和优化息息相关。这些方面的组合就是能力体现。笔者在此简要列举三个安全运营能力供读者参考。
首先,企业监控预警能力高低,企业越早检测到攻击,就越可能阻止攻击。其次,企业漏洞管理能力强壮与否,如足够健全,就能降低发生安全事件风险。再次,通过对漏洞规则重新按照事件的攻击链划分,结合告警日志分析,利用智能化的势态分析工具,准确还原出攻击的整个过程,就能对攻击做出响应,减少攻击带来的损失和对业务运维的影响。
总结
何为网络安全建设进阶?笔者认为,证券业金融企业的信息安全经理和安全团队构成了防守方,最初选择分阶段的安全建设思路,让企业有一个最基础的安全保障。之后,运用攻击者视角,发现当下安全威胁趋势,开展如漏洞管理、客户资料泄露应对、互联网资产暴露检查等工作。伴随安全建设持续调整防御目标,逐步具备威胁情报管理、监控预警、应急响应处置能力。此过程中,可以结合第三方安全能力,依托其大规模的安全情报系统和专业、智能的大数据分析模块相互融合,协助提升企业的综合安全运营能力。
请点击屏幕右上方“…” NSFOCUS-weixin | |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/